Threat Report

Silobreaker-WeeklyCyberDigest

「ロシア関連ハッカーFancy Bearが米国の衛星ネットワークにアクセスしていた」とCISA

山口 Tacos

2022.12.23

ウィークリー・サイバーダイジェストについて

サイバーセキュリティの1週間の話題をまとめたものを、毎週金曜に公開しています。

主なニュース3つをピックアップ

Facebookを活用した新たなフィッシングキャンペーンが見つかる

Social Bladeのデータベースがハッキングされ、売りに出される

2022年12月22日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクト

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略。

米国

Social Blade

同ソーシャルメディア分析プラットフォームは、データベースがハッキングされ、2022年12月12日にハッキングフォーラムBreached上に出品されたことにより、データ侵害に遭った。侵害された情報は、Eメールアドレス、パスワードハッシュ、クライアントID、ビジネスAPIユーザーのトークン、接続アカウントの認証トークンなど。

米国

Healthcare Management Solutions LLC

2022年10月8日、CMS（Centers for Medicare & Medicaid Services）の下請け会社である同社は、企業ネットワークにランサムウェア攻撃を受けた。同インシデントにより、メディケアの受益者に属する個人を特定できる情報および保護対象保健情報に関わる可能性のあるデータ侵害が発生した。これには、氏名、住所、生年月日、電話番号、社会保障番号、メディケア受益者ID、銀行情報などが含まれる。（254,000）

オーストラリア

ポートフィリップ市

同市は、オンラインカスタマーポータルMy Port Phillipの新規ユーザー33人が、自分以外のリクエストを閲覧できた可能性があることを発見した。他のユーザーの名前、住所、電話番号、Eメールアドレスが、この33人のうちの誰かによって閲覧されていた可能性がある。

コロンビア

Empresas Públicas de Medellín

2022年12月12日、同公共エネルギー供給会社がランサムウェア攻撃の標的となり、デバイスが暗号化され、データが盗まれる被害が発生した。ランサムウェアBlackCatが犯行声明を出し、インシデント発生時に同企業のデータを盗んだと主張した。

米国

The Learning Channel

サイバー恐喝グループKarakurtは同社をリークサイト上に追加し、スクリプト、ビデオ、内部文書、従業員情報など、窃取したデータ931GBを所有していると主張した。同グループは、同社が身代金を支払わない場合、2022年12月23日までにデータを流出させると脅迫している。

米国

Cornerstone Payment Systems

同社が所有するオープンでパスワード保護されていないデータベースには、9,098,506件のレコードと個人を特定できる情報が含まれていた。これには、氏名、受取人名、クレジットカード番号の一部、有効期限、Eメールアドレス、セキュリティトークンまたはアクセストークンなどが含まれていた。

インド

Khadi India

脅威アクターLeakBaseが、同Eコマースポータルの盗まれたデータベースをBreachedForums上にダンプした。漏洩した可能性のあるデータには、個人を特定できる情報、支払いに関する詳細、注文履歴などが含まれる。（13,122）

インド

Bangalore Water Supply and Sewerage Board（BWSSB）

脅威アクターKelvinSecurityが、インドの同政府機関に属するデータベースを流出させたと報じられている。同データベースには、住居情報、連絡先、支払いデータなどが含まれているとされる。BWSSBの広報担当者であるSudhir氏は、同機関はデータ侵害に遭っておらず、ランサムウェア攻撃を示唆する連絡も受け取っていないと断言している。（202,231）

ドイツ

H-Hotels

Playランサムウェアの運営者は、2022年12月11日に同ホテルチェーンに対して攻撃を行ったと主張している。同グループは、個人情報および個人のデータ（量は非公開）を盗んだと主張しており、その中には顧客文書、パスポート、IDなどが含まれているとされている。これらの主張を裏付けるデータサンプルは公開されておらず、一方、H-Hotelsはデータ流出の形跡は見られないと否定している。

米国

Little Rock School District

同学区の理事会は、最近のランサムウェア攻撃の首謀者であるハッカーへの25万ドルの和解金の支払いを承認した。この支払いは、事件の際に盗まれたデータを確保するための試みであるとみられる。

ニュージーランド

Medical Assurance Society

同保険会社は、時間外コールセンターサービスのサードパーティープロバイダーが最近サイバー攻撃でシステム侵害を受けたことを明らかにした。Medical Assurance Societyの最高経営責任者Martin Stokes氏は、このサードパーティーが、サービスを利用した人の特定の個人データを保有している可能性があると述べている。

ニュージーランド

ニュージーランド公文書館

2022年9月19日、ニュージーランド公文書館は、王立委員会の記録がコレクション検索で制限付きではなく、オープンアクセスとしてマークされており、2人の人物が機密性の高い健康情報を含むファイルにアクセスしていたことを発見した。流出した可能性のあるデータは、カンタベリーの精神医療施設に関する1952年から1973年の8,900のファイルと3組の健康記録である。

米国

SevenRooms

同レストラン顧客管理プラットフォームでは、2022年12月15日に脅威アクターがハッキングフォーラムBreachedで窃取したデータの販売を開始したことにより、データ侵害が発生した。ハッカーは、顧客情報を含む数千のファイルを含むバックアップデータベース427GB分を盗んだと主張した。漏洩した顧客データには、名前、Eメールアドレス、電話番号などが含まれる可能性がある。

米国

ロチェスター公共図書館

同図書館の提携企業であるMNLINKは、2022年12月15日にデータ侵害に見舞われた。ロチェスター図書館の顧客の名前とEメールアドレスが漏洩した可能性がある。（1,709）

米国

DraftKings

2022年11月に同社に対して行われたクレデンシャルスタッフィング攻撃により、顧客の個人情報が流出した。攻撃者は、顧客のアカウントにログインするために必要な認証情報を取得し、その他の顧客情報も閲覧した可能性がある。これには、名前、住所、電話番号、Eメールアドレス、支払い用カードの下4桁、プロフィール写真などが含まれる。（67,995）

米国

McGraw Hill

同教育出版社が所有するAmazon Web Services S3バケット2つに設定ミスがあり、公開状態となっていた。同バケットには、合計で22TB以上のデータと1億1700万以上のファイルが含まれていた。この中には、秘密デジタルキーやソースコードのほか、生徒の名前、メールアドレス、成績、成績表などが含まれている。（>100,000）

ロシア

Moscow Electronic School

2022年12月12日の週、親ウクライナ派のハッカーグループNLB Teamが、同オンライン学習プラットフォームを利用する子どもや保護者の個人データを流出させたと報じられている。これには、名前、生年月日、社会保障番号、ログイン情報、Eメールアドレスなどが含まれている。モスクワ政府は、流出したデータが実際のユーザーに関するものであることを否定したが、複数のユーザーが、流出したデータが自身のものであることを確認している。（>17,000,000）

中国

Nio Inc

ハッカーは、同電気自動車メーカーのコンピューターシステムに侵入し、ユーザーや車両販売に関するデータにアクセスした。攻撃者は、ビットコインで225万ドルを要求し、同社の内部データを保有していると主張した。

シンガポール

Keppel Telecommunications & Transportation

詳細不明の脅威アクターが、同社の一部のファイルが保存されており、同社が以前所有していたサーバーにアクセスした。このデータ流出により、元株主、元従業員、および関連会社の従業員の個人情報が流出した可能性がある。

カナダ

Clearview Public Schools

2022年12月13日から12月15日にかけて、教育システムの第三者採用サイトIndeedがハッキングされる事件が発生した。現時点では、この侵害は、2019年以降にClearviewに応募した個人に影響を与えたと考えられている。漏洩した可能性のあるデータには、氏名、連絡先、勤務先情報、その他履歴書に記載されたあらゆる情報が含まれる可能性がある。（~800）

ニュージーランド

Mercury IT

同ITプロバイダーに対する最近のランサムウェア攻撃で盗まれたデータが、ダークウェブ上で売りに出されている。宣伝されているデータには、保険会社のAccuro、床材事業を行うPolyflor、ビジネス指導プログラムを展開するBusiness Central、建築会社のCatalyst Groupなど、Mercury ITの一部の顧客に関する情報が含まれている。

米国

Events D.C.

BlackCatランサムウェアのオペレーターは最近、同スポーツ・コンベンション関連当局の所有する85GBのファイルを公開した。流出したファイルキャッシュのスクリーンショットには、従業員や業務情報を含む複数のフォルダーが表示されている。これには、契約書、銀行取引明細書のほか、社会保障番号などの情報を含む納税申告書などが含まれている。

米国

連邦捜査局（FBI）

Killnetが、FBIのデータベースに侵入し、米国の連邦捜査官の個人情報を盗んだと主張している。Telegramに投稿されたスクリーンショットには、オンラインストアのパスワードや医療関連のIDカードのほか、Google、Apple、Instagramのアカウントなどが含まれている。また、同グループは、FBI捜査官のログイン情報を示すとされるテキストファイルもリークした。（10,000）

英国

ガーディアン

同紙は、ランサムウェア攻撃と思われる「重大なITインシデント」について報告した。このインシデントにより、同社の「内部サービス」に障害が生じた。

デンマーク

Ecco

サーバーの設定ミスで50件のインデックスが公開状態となり、2021年6月以降、60GB以上のデータが公開されたままになっていた。営業・マーケティングからログ・システム情報まで、数百万件の秘密文書が公開されていた。

オーストラリア

クイーンズランド工科大学

同大学がランサムウェア攻撃の標的となり、学内のプリンターから身代金要求メモが大量に出力される事態が発生した。このメモでは、今回の攻撃がRoyalランサムウェアオペレーションによるものである旨が主張されていたほか、同大学の重要なデータが暗号化されてコピーされた旨が記載されていた。

米国

BetMGM

2022年5月に、顧客の個人情報が権限のないアクターによって取得された。漏洩した可能性のあるデータには、氏名、連絡先情報、生年月日、ハッシュ化された社会保障番号、アカウント識別子、およびBetMGMとの取引に関連する情報が含まれる。

政府に関連して言及されたマルウェア

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、政府関連のマルウェアを示しています。

過去1週間にトレンドとなった、政府関連のマルウェア

各業界の週間概況

各業界に関わる先週のニュースや情報です。

銀行・金融

ブラジルのモバイルおよびデスクトップユーザーを標的とした進行中のマルチプラットフォーム型マルウェアのキャンペーンを、ThreatFabricの研究者が発見した。このキャンペーンには、BrasDexと呼ばれる非常に柔軟性の高い新しいAndroidマルウェアが関与している。同マルウェアは1年以上にわたって活動を続けており、感染件数は数千件に上っている。さらに、BrasDexのバックエンドから、マルウェアCasbaneiroが同じドロップポイントを通じて配布されていることが判明し、両マルウェアが同じ脅威アクターによって運営されていることが示唆された。このマルウェアは、以前はAndroidの設定アプリケーションを装っていたが、現在はバンコ・サンタンデール・ブラジルのアプリケーションを装って、銀行アプリケーションを狙うようになっている。このマルウェアは、アクセシビリティ・サービスを悪用してブラジルの複数のアプリケーションから認証情報を盗むために設計された複雑なキーロガーシステムと、不正な支払いを行うための高性能なAutomated Transfer System（自動送金システム）エンジンを備えている。

暗号資産

Lazarus Groupは、Mycelium Walletを模して作成された偽アプリ「Somora」をTelegramチャンネル上で配布している。Somoraにはトロイの木馬のようなソフトウェアが盛り込まれている。同アプリは、被害者のシステムを侵害し、暗号資産を盗み出すことを目的としている。Somoraの配布は、BloxHolder（暗号資産取引プラットフォームHaasOnlineのクローン）を介してAppleJeusを配布するというLazarusによる最近のキャンペーンと同じものの一部であると考えられている。

政府

侵害されたウクライナ国防省のメールアカウントを利用して、情報窃取型マルウェアFateGrabおよびStealDealで状況認識プログラム「DELTA」のユーザーを狙うフィッシングキャンペーンを、CERT-UAが発見した。脅威アクターは、Eメールやインスタントメッセージを使用して、ユーザーがシステムを安全に使用し続けるためには「DELTA」証明書を更新する必要があるとする偽の警告を送信する。FateGrabは、PDF、Microsoft Word文書、RTFファイルなど、特定の形式のファイルを含む文書やEメールを狙うFTPファイルスティーラーである。一方StealDealは、Webブラウザに保存されている内部の閲覧データやパスワードを盗み出すことができる。

テクノロジー：Facebookを活用した新たなフィッシングキャンペーンが見つかる

メタのFacebookを活用した新しいフィッシングキャンペーンを、Trustwaveの研究者が確認した。Meta-Phishと名付けられたこの攻撃により、個人を特定できる情報やログイン認証情報、およびFacebookのプロフィールリンクが失われる可能性がある。フィッシングメールは、一見不正であるようには見えないコンテンツを含む実際のFacebookの投稿へつながるURLを配布するために使用される。投稿に含まれるリンクは、Facebookの著作権アピールページを模倣した外部のフィッシングURLにつながっている。このページで送信ボタンをクリックすると、入力された情報が、被害者のクライアントIPと地理的位置情報とともに、脅威アクター宛に送信される。

重要インフラ：「ロシア関連ハッカーFancy Bearが米国の衛星ネットワークにアクセスしていた」とCISA

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁は、ロシアの国家支援型ハッカーグループFancy Bearが、2022年のある時期に米国の衛星ネットワークにアクセスしていたことを明らかにした。この侵入により、米国の重要インフラ部門を顧客とする衛星通信プロバイダーが影響を受けた。Fancy Bearは、被害者のネットワークへのアクセスを数か月間維持していた模様。同ハッカーグループは、パッチを適用していない仮想プライベートネットワークにおける2018年の脆弱性を悪用することで、アクティブなセッションで認証情報をスクレイピングできるようになったと報じられている。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。